某上市公司運(yùn)維部門的煩惱

上世紀(jì)90年代初，某臺資企業(yè)進(jìn)入大陸市場拓展業(yè)務(wù)，至21世紀(jì)初在香港上市，該企業(yè)在大陸已有十余個分支機(jī)構(gòu)，員工總數(shù)更是多達(dá)8000人。與快速擴(kuò)張的業(yè)務(wù)相比，該企業(yè)數(shù)字化轉(zhuǎn)型卻停滯不前。

由于生產(chǎn)業(yè)務(wù)與 IT 分離，從成立至今，企業(yè)內(nèi)并未使用 Windows AD 或 OpenLDAP、OpenDJ 等身份目錄服務(wù)來納管賬號、應(yīng)用、終端等資源。而是業(yè)務(wù)部門領(lǐng)導(dǎo)拍板，有什么需求就上什么系統(tǒng)。等到 IT 老大接手時，局面已經(jīng)十分棘手。

數(shù)千個用戶信息全部存儲在 SaaS HR 系統(tǒng)上，盡管 OA 系統(tǒng)會自動從 HR 系統(tǒng)拉取賬號，但其他系統(tǒng)如 SAP、郵箱、報(bào)表、企業(yè)微信及部門自研系統(tǒng)等則依據(jù) HR 系統(tǒng)中的員工編號，由部門領(lǐng)導(dǎo)或 IT 人員在各個系統(tǒng)內(nèi)手動創(chuàng)建賬號。隨著員工數(shù)量、新應(yīng)用增多，應(yīng)用之間各自獨(dú)立，?部門壁壘?、?身份孤島?現(xiàn)象嚴(yán)重，無法實(shí)現(xiàn)賬號互通。

員工登錄應(yīng)用系統(tǒng)需要面對不同的認(rèn)證界面，記憶不同規(guī)則的賬號和密碼，這不僅讓用戶辦公效率及體驗(yàn)大打折扣，龐大的賬號維護(hù)、密碼修改、權(quán)限分配等工作也讓 IT 人員疲于應(yīng)對，運(yùn)維管理成本居高不下，從普通用戶到 IT 運(yùn)維都不勝其煩，成為阻礙企業(yè)信息化發(fā)展的瓶頸。

被忽略的身份基礎(chǔ)設(shè)施

面對以上問題，如果你是 IT 管理員，你會怎么辦？

你可能會想到單點(diǎn)登錄（Single Sign On，SSO）。表面上是多個應(yīng)用之間賬號不能共用，重復(fù)認(rèn)證，本質(zhì)上則是企業(yè)內(nèi)部沒有建立統(tǒng)一身份。

單點(diǎn)登錄解決的是應(yīng)用登錄的問題，但目錄服務(wù)才是解決企業(yè)統(tǒng)一身份的關(guān)鍵。例如微軟AD、OpenLDAP、OpenDJ 等，用來統(tǒng)一存儲、管理目錄用戶，并為應(yīng)用、網(wǎng)絡(luò)、終端等場景提供統(tǒng)一身份認(rèn)證和授權(quán)，從根本上解決信息化建設(shè)瓶頸。

因此，該上市公司迫切需要建設(shè)統(tǒng)一身份，形成權(quán)威的認(rèn)證賬號源，統(tǒng)一管理，業(yè)務(wù)系統(tǒng)資源整合，統(tǒng)一認(rèn)證門戶及單點(diǎn)登錄。

目錄服務(wù)作為身份基礎(chǔ)設(shè)施，相當(dāng)于在企業(yè)內(nèi)引入了一套身份標(biāo)準(zhǔn)，它決定了日后企業(yè)內(nèi)各個場景的身份認(rèn)證規(guī)則與數(shù)據(jù)共享。身份與業(yè)務(wù)高度耦合，越早搭建越能輔助提升業(yè)務(wù)效率，支撐業(yè)務(wù)擴(kuò)張。但大多數(shù)企業(yè)，從500人以內(nèi)的初創(chuàng)公司到上千人的中大型企業(yè)，能提早建設(shè)身份基礎(chǔ)設(shè)施的少之又少。

建設(shè)統(tǒng)一身份，應(yīng)早盡早

搭建目錄服務(wù)就像為一座大樓建造地基，構(gòu)筑框架。越早規(guī)劃和搭建，越能支撐業(yè)務(wù)快速發(fā)展。LDAP 目錄服務(wù)的實(shí)現(xiàn)并不難，80%的應(yīng)用系統(tǒng)支持 LDAP 協(xié)議，但支持 SSO 協(xié)議的應(yīng)用卻不足10%，更何況金融、醫(yī)院等特定行業(yè)的某些應(yīng)用并不支持 SSO 單點(diǎn)登錄。

（點(diǎn)擊查看大圖）

提前規(guī)劃和建設(shè)統(tǒng)一身份目錄還能為企業(yè)省去高昂的管理成本，提升用戶體驗(yàn)和運(yùn)維、辦公效率。未搭建統(tǒng)一身份目錄前，賬號同步和賬號的全生命周期管理只能靠部門主管或 IT 在各個應(yīng)用內(nèi)手動操作，更不能排除人為操作失誤（賬號凍結(jié)不及時，離職人員依然能訪問重要資源）的風(fēng)險。

（點(diǎn)擊查看大圖）

搭建統(tǒng)一身份后，在 HR 系統(tǒng)中新增、刪除賬號等操作都會自動同步給 AD、OA、ERP、郵箱等下游應(yīng)用，各個應(yīng)用內(nèi)的賬號權(quán)限也都會基于目錄服務(wù)中的組織結(jié)構(gòu)自動分配。如此一來，用戶僅需憑借一套賬號密碼就能夠順暢地連接企業(yè)網(wǎng)絡(luò)、訪問所有有權(quán)限訪問的應(yīng)用，進(jìn)而開展工作，IT 也能減輕大量瑣碎工作，迅速提高運(yùn)維效率。

作為目錄服務(wù)領(lǐng)域的翹楚——微軟 AD 系統(tǒng)成熟、功能強(qiáng)大，但被攻擊后安全性不足，預(yù)算充足的企業(yè)可以考慮。OpenLDAP、OpenDJ 等開源方案，要求企業(yè)有較高的IT運(yùn)維實(shí)力。

寧盾目錄服務(wù)是基于標(biāo)準(zhǔn) LDAP 協(xié)議自主研發(fā)的國產(chǎn)商業(yè)化目錄服務(wù)，可替代 OpenLDAP 開源方案，并高度兼容微軟 AD，幫助企業(yè) 0 門檻搭建統(tǒng)一身份認(rèn)證體系，納管人員、網(wǎng)絡(luò)、應(yīng)用、終端等 IT 資源。同時，寧盾目錄彌補(bǔ)了微軟 AD 不足之處，如支持用戶自助修改密碼/重置密碼，集成 2FA 雙因子認(rèn)證，簡單易用的 SSO 單點(diǎn)登錄功能等等，目前已在金融、航空、能源等重點(diǎn)行業(yè)頭部企業(yè)中落地最佳實(shí)踐。